Erste Erfahrungen mit der KRITIS-Verordnung

Dieser Beitrag wurde am von in News veröffentlicht. Schlagworte: , , .


KRITIS-Verordnung IT-Sicherheitsgesetz

Der erste Teil der KRITIS-Verordnung zur Umsetzung des IT-Sicherheitsgesetzes ist am 3. Mai 2016 in Kraft getreten. Unternehmen bzw. Betreiber kritischer Anlagen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung sind damit verpflichtet, einen Mindeststandard an IT-Sicherheit einzuhalten und IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Wir haben uns mit Abdou Naby Diaw, CSO und Director Corporate Security bei der Vodafone GmbH über die KRITIS-Verordnung und das neue IT-Sicherheitsgesetz unterhalten.

Welche Erfahrungen hat Ihr Unternehmen mit der KRITIS-Verordnung gemacht? Sind sie auf die nächsten Schritte vorbereitet? Diskutieren Sie bei #hbcyber mit anderen Cybersecurity-Experten im November in Berlin!

Herr Diaw, wie sind Ihre ersten Erfahrungen bei Vodafone mit dem neuen IT-Sicherheitsgesetz und der KRITIS-Verordnung?

Abdou Naby Diaw: Für Vodafone als Telekommunikationsnetzbetreiber ergeben sich durch das IT-SiG keine wirklichen Neuerungen. Die bereits seit Jahren etablierte Pflicht zur Meldung von Sicherheitsvorfällen im Betrieb der TK-Netze und Dienste besteht weiterhin und wurde lediglich den neuen Erfordernissen angepasst, auch „Beinah“-Sicherheitsvorfälle zu melden. Wir modifizieren dafür die bereits bestehenden Prozesse im Incident-Management. Wir müssen das Rad nicht neu erfinden. Wertvoll sind die neu geschaffenen Schnittstellen zwischen den Behörden. Das erleichtert die Kommunikation.

Was sind aus Ihrer Sicht die 5 wichtigsten Aspekte des neuen Gesetzes?

Abdou Naby Diaw:  1. Der Gesetzgeber baut auf den bereits vorhandenen Vorgaben auf und verzichtet auf eine Doppelregulierung.
2. Wir erwarten, dass es mit den Klarstellungen in der KRITIS-Verordnung in Zukunft weniger Diskussionen zur Frage geben wird: „Was genau ist eigentlich ein ‚kritischer Dienst‘?“
3. Das Gesetzespaket nimmt einiges an europäischer Regulierung vorweg. Denken Sie an die gerade frisch in Kraft getretene NIS-Richtlinie der EU zur Sicherheit von Netz- und Informationssystemen. Der deutsche Gesetzgeber wird manche Teile zwar noch in nationales Recht umsetzen müssen. Dennoch hat Deutschland heute schon einen rechtlichen Vorsprung vor vielen anderen EU-Ländern, die noch einiges an Arbeit vor sich haben. Hier ist allerdings darauf zu achten, bei der Anwendung bestehende internationale Standards heranzuziehen: rein nationale Standards wären kontraproduktiv.
4. Meine persönliche Erwartung ist, dass das Gesetz die IT-Sicherheit in Deutschland stärken wird. Jedoch fehlt meines Erachtens eine wichtige Komponente: die Verpflichtung von Herstellern von Hard- und Software zu vergleichbaren Sicherheitsmaßnahmen sollte nachgeholt werden.
5. Das BSI erhält die Rolle einer zusätzlichen Aufsichtsbehörde und wird dadurch in seiner Bedeutung enorm aufgewertet. Aus meiner Sicht überwiegen dabei die Vorteile: Die direkte Zusammenarbeit mit dem BSI und seinen Sicherheitsspezialisten hilft beim Umgang mit IT-Sicherheitsvorfällen, was unsere Zusammenarbeit der letzten Monate bestätigt.

Welche Besonderheiten in Bezug auf IT-Sicherheit zeichnen die Telekommunikations- bzw. Mobilfunkbranche aus?

Abdou Naby Diaw: Wie bei einer Medaille gibt es auch bei der IT-Sicherheit zwei Seiten. Zum einen ist die Telekommunikationsbranche für den Alltag der Menschen relevant wie nie. Jeden Tag nimmt die Digitalisierung zu. Wir alle reden längst wie selbstverständlich von SmartHomes oder autonomem Fahren. Wir sind in der Gigabit-Gesellschaft angekommen und brauchen dafür rasend schnelle Netze. Das führt gleichzeitig aber auch zu einem erhöhten Bedarf an wirkungsvollen Sicherheitsmaßnahmen. Gerade die Telekommunikationsbranche als Anbieter einer flächendeckenden Infrastruktur ist hierbei besonders gefordert. Wir tragen eine besondere Verantwortung, die wir auch und gerade beim Sicherheitsmanagement sehr ernst nehmen.

Die andere Seite der Medaille ist: Die immer leistungsfähigeren IT-Infrastrukturen sind ein attraktives Ziel für Hacks aller Art, die immer wirkungsvoller und komplexer werden. Manche Hacker wollen sich einfach nur mit ihren Aktionen brüsten oder andere sich aus purem Ehrgeiz an sehr gut geschützten Systemen versuchen. Wiederum andere haben Hacking als lohnendes Geschäft mit gestohlenen oder – wie bei Ransomware-Angriffen – verschlüsselten Daten entdeckt. Das stellt die gesamte Branche vor die Herausforderung, die bereits sehr hohen Sicherheits-Standards laufend zu verbessern. Dieser Umstand ist aber nicht erst seit der Verabschiedung des neuen Gesetzes bekannt.
Vodafone investiert deshalb bereits seit vielen Jahren in die Abwehr von Cyber-Angriffen. Wir schützen und überwachen unser Netz durch ein global operierendes Cyber Defense Team und haben unsere automatisierten Abwehrmaßnahmen stetig ausgebaut. Gleichzeitig bieten wir unseren Kunden ein stetig wachsendes Portfolio von Sicherheitslösungen. Ein Beispiel ist die Verlagerung des Schutzes von den Endgeräten (Smartphones und Tablets) auf unser Netz.

Wie beurteilen Sie die aktuellen Entwicklungen rund um Privacy Shield und den globalen Datentransfer?

Abdou Naby Diaw:  Wir leben heute in einer digitalisierten Welt ohne globale Grenzen. Daher ist die Zusammenarbeit mit internationalen Akteuren unverzichtbar. Ebenso muss ein angemessener internationaler Austausch von Daten zur Unterstützung der digitalen Sicherheit möglich sein. Deshalb begrüßen wir die Entwicklungen rund um das Privacy Shield. Die Praxis wird zeigen, wie es sich bewähren wird. Ich persönlich sehe das optimistisch, wenn die Beteiligten weiterhin lösungsorientiert vorgehen. Vodafone wird dazu seinen Beitrag leisten und seiner Verantwortung gerecht werden.

Abdou Naby Diaw spricht bei der Handelsblatt Jahrestagung Cybersecurity im November 2016 in Berlin zum Thema Cybersecurity im Zeitalter der Gigabit Gesellschaft.

 

Abdou Naby Diaw KRITIS VodafoneAbdou Naby Diaw, Chief Security Officer (CSO) von Vodafone Deutschland verantwortet seit dem 1. Dezember 2014 den Bereich Corporate Security innerhalb des Ressorts „Legal, Regulatory & Corporate Security“ und leitet die Datenschutz- und Sicherheitsbereiche von Vodafone und Kabel Deutschland. Vor seinem Wechsel zu Vodafone war der Dipl. Informatiker seit 2012 Chief Security Officer von Kabel Deutschland. Von 2005 bis 2012 war er Chief Information Security Officer von Thomas Cook. Zuvor nahm er bei Thomas Cook und der Lufthansa verschiedene IT Management-Positionen ein.
.